Le nouveau domaine Web .xxx facilitera-t-il le filtrage Web ?

Le nouveau domaine Web .xxx facilitera-t-il le filtrage Web ?

Récemment, le premier site Web utilisant le nouveau domaine .xxx a été mis en ligne.

Pourquoi un nouveau domain .xxx ?

Pour donner aux lecteurs un peu de contexte, l’ICANN (Internet Corporation for Assigned Names) a décidé plus tôt cette année de créer un nouveau domaine de premier niveau pour les sites Web pour adultes ou les sites à caractère pornographique, en utilisant le suffixe « .xxx ». Le plan était que tous les sites pornographiques puissent être consignés dans un coin de l’Internet.

Pourquoi ?

L’idée sous-jacente à cette nouvelle extension était de permettre aux entreprises, aux parents et aux professionnels de la sécurité Web de bloquer des sites pornographiques en bloquant simplement l’extension.

De nombreuses entreprises de l’industrie du divertissement pour adultes devraient s’inscrire pour un nom de domaine .xxx.

Mais les entreprises qui basculent vers les nouveaux noms et qui les utilisent massivement sont sceptiques, car les analystes prédisent que de nombreuses entreprises vont simplement créer des redirections vers leurs sites « .com » principaux.

Alors, à qui profite réellement ce déménagement ?

Les opérateurs de sites pornographiques ont la possibilité d’utiliser ou non le nouveau domaine. Les opposants à ce concept estiment que, comme il ne s’agit pas d’une exigence de domaine imposé, cela ne représente aucun avantage.

Si seulement une sous-section des sites pornographiques se déplace vers le nouveau domaine, le blocage prévu des sites pornographiques via le domaine .xxx ne sera pas efficace.

Pro-domaine .xxx

Les partisans du nom de domaine .xxx considèrent ce changement comme une nouvelle façon prometteuse de filtrer la pornographie sur Internet.

Il s’agit d’un processus qui sera encore beaucoup plus efficace que le filtrage basé sur le contenu actuel.

Anti-domaine .xxx

Les analystes de WebTitan sont stupéfaits de cette décision.

Bien que certains propriétaires de sites Web de l’industrie du divertissement pour adultes enregistrent leurs sites en utilisant la nouvelle extension, il est également fort probable qu’ils conserveront encore leur domaine actuel afin de ne pas limiter leur audience.

Certains craignent également que les cybersquatteurs qui tentent d’enregistrer des noms commerciaux légitimes sur le nouveau domaine ne causent beaucoup d’embarras et ne nuisent à la réputation des entreprises déjà établies.

Et vous, qu’en pensez-vous ?

Comment le DNS peut-il aider et nuire à la sécurité de votre réseau ?

Comment le DNS peut-il aider et nuire à la sécurité de votre réseau ?

Le système de noms de domaine (DNS) a été mis en place pour faciliter l’utilisation d’Internet. Il traduit les noms de domaine en adresses IP, lesquelles sont utilisées par les périphériques réseau. Le DNS vous permet d’utiliser http://www.google.com au lieu de http://74.125.224.72/ pour lancer une recherche.

Bref, c’est le principal service d’annuaire d’Internet.

Cependant, le DNS est une arme à double tranchant, en grande partie à cause de la nature peu sûre de l’infrastructure DNS. Celle-ci peut être exploitée par des cybercriminels.

Qu’est-ce que le DNS ?

En quelques mots, le DNS est un système distribué ancré par les serveurs de noms racine. En-dessous de celui-ci se trouve des zones DNS pouvant être constituées d’un ou plusieurs domaines (google.com, par exemple, est un domaine), c’est-à-dire un ensemble de serveurs de noms faisant autorité est attribué à chaque zone DNS.

Un serveur de noms faisant autorité (Authoritative Name Server) peut être soit un serveur maître, soit un serveur esclave. Un serveur maître stocke les copies originales des enregistrements de zone tandis qu’un serveur esclave conserve les copies des enregistrements maîtres.

DNS pour IPv4

Pour IPv4, le DNS est le plus souvent étroitement intégré au protocole DHCP (Dynamic Host Configuration Protocol). DHCP fournit des adresses IP, des serveurs de noms DNS et d’autres informations aux périphériques d’un réseau privé ou public.

Ainsi, pour sécuriser le DNS, il faut également protéger le DHCP, et ce, grâce à l’utilisation de techniques telles que l’espionnage DHCP et la limitation du relais DHCP.

DNS pour IPv6

Selon la configuration du réseau IPv6, le protocole DHCP peut fournir ou non des informations DNS.

Par exemple, l’auto-configuration des adresses sans état (SLAAC) ne nécessite pas de serveur DHCPv6, car le message Router Advertisement (RA) fournit le nom du ou des serveurs DNS.

Attaques DNS

En tant qu’annuaire d’Internet, les serveurs DNS doivent être accessibles à tous.

Un white hat recherche un résolveur DNS ouvert et lance une attaque par Déni De Service Distribué (DDoS), soit contre le résolveur lui-même, soit contre d’autres systèmes. La cible reçoit une réponse DNS de partout sur Internet. Les réponses DNS peuvent ensuite être usurpées, ou créées avec de fausses informations, pour rediriger les utilisateurs de sites légitimes vers des sites web malveillants.

Qu’est-ce qu’une attaque DDoS ?

Une attaque DDoS implique la surcharge intentionnelle d’un dispositif, dans le but de rendre ce dispositif ou un service qu’il fournit inaccessible aux utilisateurs.

Un DDoS provient généralement d’un grand nombre de bots ou de PC zombies qui sont sous le contrôle d’une machine centrale appelée botnet. Ces attaques sont très privilégiées par les cybercriminels et ont déjà touché des entreprises privées, des gouvernements, des banques et des ordinateurs des utilisateurs finaux.

Attaque Spamhaus en 2013

L’énormité d’une attaque DDoS est époustouflante. Prenons pour exemple celle qui a été menée en mars 2013 contre Spamhaus, une organisation internationale non gouvernementale basée à Genève et à Londres.

L’attaque a commencé avec une requête DNS avec une adresse IP bidon, mais elle a rapidement pris de l’ampleur pour deux raisons.

Premièrement, la taille du paquet de réponses envoyé par le résolveur DNS est souvent plusieurs fois supérieure à celle du paquet de requêtes. Deuxièmement, le nombre de réponses DNS générées augmente exponentiellement à mesure que le nombre de serveurs participant augmente.

Selon Spamhaus, plus de 30 000 résolveurs DNS ont initialement participé à l’augmentation du flux de réponses DNS.

Si une grande quantité de trafic est reçue d’une adresse IP, la sécurité peut être configurée pour limiter les paquets provenant de cette adresse.

Mais pour l’incident de Spamhaus, les attaquants ont utilisé un grand nombre d’adresses IP différentes. Par conséquent, le nombre de réponses DNS de chaque adresse IP individuelle n’a pas déclenché le mécanisme de limitation de paquets.

Identification du trafic DNS malveillant

Le DNS peut utiliser les protocoles TCP ou UDP. Le trafic sur le port TCP 53 représente souvent des transferts de zone pour garder les serveurs esclaves en synchronisation avec le fichier de zone maître. Toutefois, des intrus peuvent utiliser ce mécanisme pour télécharger le contenu du fichier de zone d’un serveur de noms. Pour éviter cela, les administrateurs doivent bloquer les demandes de transfert de zone à partir de tout périphérique autre que le serveur de noms esclave autorisé.

Comme tout autre port, le port 53 peut être utilisé en guise de tunnel de trafic non autorisé. Méfiez-vous donc si Wireshark signale des paquets « malformés » ou demandant des « opérations inconnues ».

Prévenir ou empêcher une attaque DNS

Le DNS peut être configuré pour atténuer les problèmes de sécurité DNS courants. Selon le projet Open Resolver, « les résolveurs ouverts représentent une menace importante pour l’infrastructure réseau globale ».

Empêchez votre serveur DNS d’être un résolveur ouvert, répondant aux requêtes DNS de n’importe quelle adresse sur Internet. Limitez les serveurs récursifs internes aux sous-réseaux IP utilisés par votre entreprise.

Gardez cependant à l’esprit que de nombreux (sinon la plupart des) résolveurs DNS sur Internet sont ouverts, soit parce qu’ils n’ont pas été sécurisés, soit parce qu’ils sont destinés à être ouverts au public, comme le service Comodo.

Pour tester votre adresse IP pour détecter les résolveurs ouverts, consultez http://www.thinkbroadband.com/tools/dnscheck.html

Bien qu’il n’existe aucun moyen sûr d’empêcher une attaque DNS, les mesures suivantes peuvent minimiser les risques :

  • Le blocage DNS utilisé pour la sécurité contre le phishing et le spam peut aider à prévenir les attaques DNS. Ce mécanisme empêche les entités de localiser des domaines ou des sites Web spécifiques et malveillants sur Internet.
  • Configurez vos serveurs DNS faisant autorité pour utiliser la limitation du taux de réponse DNS.
  • Le trafic DNS doit être limité en fonction du type de paquet DNS. Par exemple, une réponse de transfert de zone aurait un seuil plus élevé qu’une réponse pour le nom du serveur DNS.
  • Travaillez avec votre fournisseur d’accès Internet pour bloquer ou limiter le trafic que vous ne voulez pas sur votre réseau, si possible.
  • Surveillez votre réseau, en particulier les adresses IP des clients qui utilisent le plus de bande passante.
  • La fermeture des résolveurs ouverts et l’utilisation du blocage DNS ne peuvent pas protéger contre l’usurpation d’identité des paquets. Ainsi, Google déclare que votre site doit être équipé pour faire face à une charge accrue occasionnée par une attaque. Il vous faudra un filtre pour les cycles de bande passante et de processeur ainsi qu’une capacité générale d’équilibrer la charge.

Deux failles d’authentification à deux facteurs découvertes dans Microsoft ADFS

Deux failles d’authentification factorielle ont été identifiées. Elles permettaient aux pirates d’accéder aux comptes même s’ils étaient protégés par un mot de passe et par un second facteur d’authentification.

L’authentification à deux facteurs (2FA) est une protection importante pour sécuriser les comptes. Dans le cas où les informations d’identification sont devinées ou obtenues d’une autre manière par un tiers, une méthode d’authentification supplémentaire est nécessaire pour avoir accès à un compte.

Sans ce deuxième facteur, l’accès devrait être bloqué, mais ce n’est pas toujours le cas. De multiples failles d’authentification à deux facteurs ont été identifiées.

Deux failles d’authentification de facteurs exploitées dans les cyberattaques de Reddit, LinkedIn et Yahoo

L’authentification à deux facteurs n’est pas infaillible.

Récemment, Reddit a révélé avoir subi une fuite de données même si l’authentification à deux facteurs avait été mise en œuvre. Plutôt que d’utiliser un jeton d’authentification, Reddit a utilisé les messages SMS envoyés à un téléphone mobile appartenant au titulaire du compte comme deuxième facteur d’authentification.

Comme Reddit l’a découvert, les messages SMS 2FA pouvaient être interceptés par l’attaquant, ce qui lui a permis d’accéder au compte d’un employé ainsi qu’à une ancienne base de données d’identifiants utilisateur.

L’authentification à deux facteurs était également mise en place par Yahoo en 2013, mais l’entreprise a tout de même subi une violation massive de données. Résultat : les pirates informatiques ont pu obtenir des les informations sur trois milliards d’utilisateurs.

Il y a un an, il y a encore eu une violation massive de 167 millions de données d’enregistrement chez LinkedIn, lequel avait également mis en œuvre l’authentification à deux facteurs.

Un appel téléphonique ou un message texte envoyé à un téléphone appartenant au titulaire du compte n’empêche pas nécessairement un tiers d’avoir accès au compte. Au mois d’août de l’année dernière, un investisseur de Bitcoin s’est fait voler 150 000$ de cryptomonnaie dans son portefeuille après qu’un tiers y ait eu accès.

Dans cette affaire, le numéro de téléphone du deuxième facteur de l’investisseur avait été redirigé vers un appareil appartenant à l’agresseur après que la compagnie de téléphone eut été dupée.

Tout deuxième facteur qui utilise le système téléphonique de messages SMS fournit une couche supplémentaire de protection, mais il n’est pas suffisant pour se protéger contre un hacker qualifié et déterminé.

Deux failles d’authentification à deux facteurs ont été découvertes dans Active Directory Federation Services de Microsoft

Une vulnérabilité majeure d’authentification à deux facteurs a récemment été découverte par un chercheur en sécurité chez Okta.

Okta, comme de nombreuses entreprises, utilise Active Directory Federation Services (ADFS) de Microsoft pour fournir une authentification multifactorielle.

Andrew Lee, chercheur en sécurité chez Okta, a découvert que le système présentait une vulnérabilité grave qui n’était pas seulement facile à exploiter, mais qui rendrait les contrôles d’authentification multifactorielle d’une organisation pratiquement inutile.

Andrew Lee a découvert qu’une personne possédant un nom d’utilisateur, un mot de passe et un jeton d’authentification valide à deux facteurs pour un compte pouvait utiliser le même jeton pour accéder à tout autre compte de l’organisation dans AD avec seulement un nom d’utilisateur et un mot de passe.

Tout employé à qui l’on a donné un compte et qui a spécifié son propre deuxième facteur peut l’utiliser pour accéder à d’autres comptes. En effet, le jeton d’authentification constituait une sorte de carte-clé d’un hôtel qui peut ouvrir toutes les chambres de l’hôtel.

Pour obtenir les identifiants de connexion d’un autre employé, il suffit d’une campagne de phishing. Si la personne répondait et divulguait ses titres de compétences, on pourrait accéder à son compte sans avoir besoin d’un deuxième facteur.

La vulnérabilité en question — qui a été corrigée par Microsoft le 14 août dans ses mises à jour lors du Patch Tuesday du mois d’août — était présente dans la façon dont l’ADFA (Australian Defence Force Academy) communiquait. Lorsqu’un utilisateur tentait de se connecter, un journal de contexte chiffré a été envoyé par le serveur qui contient le deuxième jeton d’authentification, mais pas le nom d’utilisateur.

Cette faille pouvant être exploitée pour faire croire au système que le bon jeton avait été fourni. En effet, aucune vérification n’a été faite pour déterminer si le bon jeton avait été fourni pour le compte d’un utilisateur spécifique. Tant qu’un nom d’utilisateur, un mot de passe et un jeton 2FA valides ont été obtenus, le système 2FA peut être contourné.

L’authentification à deux facteurs n’est pas suffisante

Ces deux failles d’authentification factorielle montrent que si l’authentification à deux facteurs est un contrôle important à mettre en œuvre, les entreprises ne doivent pas compter sur ce système pour empêcher l’accès non autorisé aux comptes. Il est peu probable que les failles d’authentification à deux facteurs que l’on vient d’examiner soient les dernières à être découvertes.

L’authentification à deux facteurs ne devrait être qu’un moyen de défense parmi tant d’autres qu’une organisation peut utiliser contre le phishing et le piratage. Comme il existe d’autres moyens plus fiables comme les filtres antispam, les filtres Web, les pare-feu, les systèmes de détection d’intrusion, les solutions antivirus, la segmentation des réseaux et la formation des employés à la sécurité, la 2FA ne devrait plus être considérée comme une solution miracle pour empêcher l’accès non autorisé à un compte.

Une étude souligne le manque de formation efficace en matière de sensibilisation à la sécurité pour les employés

La formation de sensibilisation à la sécurité dispensée aux employés aide à éradiquer les comportements à risque qui pourraient mener à un compromis au sein du réseau informatique.

Les programmes de formation devraient couvrir toutes les principales menaces auxquelles votre entreprise est confrontée, y compris les attaques sur le web, les e-mails de phishing, les malwares et les escroqueries d’ingénierie sociale par téléphone, par messagerie texte ou par les médias sociaux.

Trop souvent, les entreprises se concentrent sur la sécurisation du périmètre réseau à l’aide de pare-feu, en déployant des solutions antimalware avancées et en mettant en œuvre d’autres contrôles technologiques tels que les filtres anti-spam et les systèmes de protection des terminaux.

Par contre, elles n’offrent pas de formation efficace en matière de sécurité à leurs employés. Et même lorsque des programmes de sensibilisation à la sécurité sont élaborés, les entreprises optent souvent pour une séance de formation en salle qui se déroule une fois par an. Les employés peuvent donc rapidement les oublier.

Si vous considérez que la formation de sensibilisation à la sécurité pour les employés est un élément à cocher une fois par an et qui doit être réalisé pour s’assurer tout simplement de la conformité vis-à-vis des réglementations du secteur, il y a de fortes chances que votre formation n’aura pas été efficace.

Le paysage des menaces cybercriminelles évolue rapidement. Celles-ci changent souvent de tactique et développent de nouvelles méthodes pour attaquer les organisations.

Si votre programme de sécurité n’intègre pas ces nouvelles méthodes d’attaque et que vous ne fournissez pas de cours de recyclage de sensibilisation à la sécurité à vos employés tout au long de l’année, ils seront plus susceptibles de tomber dans une escroquerie ou de s’engager dans des actions qui menacent la sécurité de vos données et l’intégrité de votre réseau.

De nombreuses entreprises n’offrent pas de formation efficace de sensibilisation à la sécurité à leurs employés

Une étude récente a mis en évidence l’inefficacité de nombreux programmes de formation à la sensibilisation à la sécurité. Positive Technologies a mené une étude sur le phishing et sur l’ingénierie sociale auprès de dix organisations afin de déterminer l’efficacité de leurs programmes de sensibilisation concernant la sécurité et la vulnérabilité des employés vis-à-vis des escroqueries les plus courantes par e-mails.

Il s’agit notamment des e-mails comportant des pièces jointes potentiellement malveillantes, des e-mails comportant des hyperliens vers des sites web où l’employé devait entrer ses renseignements d’ouverture de session, et des e-mails contenant des pièces jointes et des liens vers un site web.

Bien qu’aucun de ces e-mails ne soit de nature malveillante, ils reflétaient des scénarios d’attaque réels.

27% des employés ont répondu aux e-mails avec un lien qui leur demandait d’entrer leurs identifiants de connexion. 15% ont répondu aux e-mails avec des liens et des pièces jointes, et 7% ont répondu aux e-mails avec des pièces jointes.

Même une entreprise comptant 100 employés pourrait voir plusieurs comptes de messagerie compromis par une seule campagne de phishing ou télécharger de logiciels de ransomware. En réalité, le coût de l’atténuation des attaques cybercriminelles est considérable. Prenons l’exemple de l’attaque de ransomware récente menée contre la ville d’Atlanta. Selon Channel 2 Action News, la résolution de l’attaque a coûté 2,7 millions de dollars à la ville.

L’étude a révélé un manque de sensibilisation à la sécurité dans chaque organisation. Alors que les employés représentaient la plus grande menace à la sécurité du réseau, représentant 31% de toutes les personnes ayant répondu aux e-mails. 25% étaient des superviseurs d’équipe qui auraient des privilèges élevés.

19% étaient des comptables, des employés administratifs ou des employés du département des finances, dont les ordinateurs et les identifiants de connexion seraient beaucoup plus précieux pour les attaquants. Les gestionnaires des ministères représentaient 13% des répondants.

Même le département informatique n’était pas à l’abri des menaces. Bien qu’il n’y ait peut-être pas eu un manque de sensibilisation à la sécurité, 9% des répondants étaient dans les départements informatiques et 3% dans la sécurité de l’information.

Pour garantir la sécurité informatique, l’étude souligne qu’il est important non seulement d’offrir une formation de sensibilisation aux employés, mais aussi de tester l’efficacité de la formation et de s’assurer qu’elle est continue, et pas seulement une fois par an.

Conseils pour l’élaboration de programmes efficaces de sensibilisation à la sécurité des employés

Les programmes de sensibilisation à la sécurité des employés peuvent réduire la vulnérabilité aux attaques par phishing et à d’autres menaces par e-mail et sur le web.

Si vous voulez améliorer la sécurité de votre réseau informatique, vous devriez tenir compte des éléments suivants lorsque vous allez élaborer une formation de sensibilisation pour vos employés :

  • Créez un point de référence par rapport auquel l’efficacité de votre formation pourra être mesurée. Effectuez des simulations de phishing et déterminez le niveau global de sensibilité et les départements les plus à risque.
  • Offrez une séance de formation en salle une fois par an, qui explique l’importance de la sensibilisation à la sécurité et qui traite les menaces dont les employés devraient être conscients.
  • Utilisez des séances de formation informatisées tout au long de l’année et assurez-vous que tous vos employés en bénéficient. Toute personne ayant accès à la messagerie électronique ou au réseau devrait recevoir une formation générale – avec des sessions de formation spécifiques à l’emploi et au département – pour qu’elle puisse éviter les menaces spécifiques.
  • La formation devrait être suivie d’autres simulations de phishing et d’ingénierie sociale pour déterminer l’efficacité de la formation. Un échec de la simulation de phishing devrait être considéré comme une nouvelle opportunité de formation pour vos employés. Si ces derniers continuent d’échouer, réévaluez le style de formation que vous leur offrez.
  • Utilisez différentes méthodes de formation pour favoriser la rétention des connaissances.
  • Rappelez à vos employés l’importance de la sécurité informatique, et ce, grâce à des bulletins d’information, des affiches, des jeux-questionnaires et des jeux.

Mettez en place un système de signalement en un seul clic pour permettre à vos employés de signaler les e-mails potentiellement suspects à leurs équipes de sécurité.

Celles-ci pourront donc prendre rapidement des mesures pour supprimer toutes les occurrences de ces e-mails dans les boîtes de réception de l’entreprise.

L’OWASP publie les 10 risques les plus critiques pour la sécurité des applications

Imaginez un instant la quantité de données personnelles que les applications Web traitent aujourd’hui.

Les utilisateurs interagissent en permanence avec les applications logicielles relatives aux transactions dans le domaine de la santé, de la banque et du commerce de détail.

Presque toutes les grandes entreprises et organisations qui traitent des données de grande valeur disposent aujourd’hui d’une application Web. De plus, l’infrastructure qui supporte les nouveaux sites Web basés sur les applications d’aujourd’hui est devenue très complexe.

De nos jours, ces sites sont généralement structurés en trois niveaux :

  • Le niveau client est le premier niveau
  • Un moteur utilisant une technologie de contenu Web dynamique est le niveau intermédiaire
  • Une base de données est le troisième niveau.

Cette architecture de type multi-niveaux signifie qu’en plus du modèle de trafic Nord-Sud, qui va de l’utilisateur et vers le niveau du client (le serveur HTML frontal), le site crée également un grand volume de trafic Est-Ouest entre les multiples serveurs résidant dans des niveaux séparés.

Cette autoroute supplémentaire et la complexité accrue de sa conception rendent la cybersécurité beaucoup plus difficile.

Ajoutez à cela le rythme rapide des processus de développement des logiciels et l’intégration des opérations de développement et vous allez rapidement reconnaître les défis en matière de sécurisation des applications Web d’aujourd’hui.

L’Open Web Application Security Project (OWASP) est une communauté ouverte dont la mission est de permettre aux entreprises de développer, acheter et maintenir des applications et des interfaces de programmation applicative (API) plus fiables.

L’insécurité des logiciels entrave non seulement la confiance des utilisateurs, mais aussi la sécurité de notre pays lorsqu’il concerne le secteur industriel, celui de l’énergie et de la défense. En 2003, l’OWASP a publié les principaux risques de sécurité des applications les plus répandues à l’époque.

L’objectif était d’identifier les principales tactiques utilisées par les pirates pour infiltrer et compromettre les données dans les applications Web.

Depuis, l’OWASP a publié ses Tops 10 des risques en matière de sécurité des applications en 2007, en 2010 et en 2013.

Le Top 10 de l’OWASP est devenu une référence reconnue dans le monde et a un impact considérable sur les priorités du programme de sécurité des applications. Aujourd’hui, il sert de base à de nombreux mécanismes d’évaluation des produits de test de vulnérabilité.

Il y a deux semaines, l’OWASP a publié sa liste très attendue pour 2017. Celle-ci est basée sur 11 jeux de données d’entreprises spécialisées dans la sécurité des applications.

Elle couvre les vulnérabilités rassemblées auprès de centaines d’organisations et de plus de 50 000 applications et API dans le monde.

  • Injection
  • Authentification interrompue et gestion des sessions
  • Scripts XSS (Cross-Site Scripting)
  • Contrôle d’accès cassé
  • Mauvaise configuration de la sécurité
  • Exposition aux données sensibles
  • Protection insuffisante contre les attaques
  • Contrefaçon de demande intersite (CSRF)
  • Utilisation de composants présentant des vulnérabilités connues
  • Sous APIs protégées

Selon un vieil adage : « plus les choses changent, plus elles restent les mêmes ». Cela reste évident si on compare les différentes versions de Top 10 de l’OWASP.

En 2010, les trois principaux risques étaient identiques à ceux publiés cette année. Si on compare les rapports de 2010 à celui de 2017, sept des placements de risque sont identiques. La principale raison de la différence entre les deux est que l’OWASP a consacré une plus grande attention à l’API cette année.

Bon nombre des risques qui ont été décrits relèvent de la responsabilité des développeurs.

Les attaques par injections en sont un bon exemple, car elles continuent de représenter le risque le plus important. Elles se produisent lorsque des données SQL, OS et LDAP non fiables sont envoyées dans le cadre d’une commande ou d’une requête.

Les données hostiles injectées par l’attaquant peuvent entraîner l’exécution de commandes involontaires ou l’accès à des données sans autorisation appropriée. Ce type d’attaque est généralement le résultat de l’absence de validation de la saisie (n’autorisant que certains caractères ou commandes dans une zone de texte ou un autre point de saisie).

Tous les Tops 10 de l’OWASP ne sont cependant pas le résultat de techniques de programmation inappropriées.

De nombreux aspects d’une mauvaise configuration de sécurité relèvent également de la compétence de l’administrateur réseau. Les administrateurs doivent s’assurer que tous les serveurs Web, d’applications et de bases de données sont toujours patchés et mis à jour.

Les paramètres de configuration doivent être analysés pour s’assurer que ces serveurs sont renforcés. Ils peuvent par exemple s’assurer que la navigation dans les répertoires est désactivée sur le serveur Web.

Une autre catégorie qui affecte les administrateurs aujourd’hui est l’exposition aux données sensibles. Les organisations qui sont soumises aux obligations de conformité de la HIPAA et de la Cour pénale internationale (CPI) devraient chiffrer les données personnelles et de grande valeur. En effet, le chiffrement est le meilleur moyen de protéger l’acquisition non autorisée de données par des pirates et d’autres tiers.

Si votre organisation utilise une quelconque application Web, vous devez mettre en œuvre des tests de vulnérabilité réguliers afin de vous assurer que ces risques hautement exploités ne constituent pas une menace pour votre organisation.

Vous êtes un professionnel de l’informatique et vous voulez vous assurer que votre réseau et vos appareils sont protégés ? Adressez-vous à un spécialiste de la sécurité ou écrivez-nous à info@titanhq.fr pour toute question.

Les chasseurs Bug Bounty aident à rendre Internet plus sûr

Qu’est-ce que les chasseurs Bug Bounty ?

Imaginez une entreprise SaaS mondialement reconnue qui invite des étrangers à pirater ses sites Web ou ses logiciels.

Cela peut paraître fou, mais c’est exactement ce que font aujourd’hui certains géants de l’industrie tels que Microsoft, Facebook et Walmart. Leur but est de trouver les failles de sécurité critiques et celles qui sont susceptibles d’être exploitées par des cybercriminels.

Ces étrangers sont appelés chasseurs de primes Bug Bounty. Des pirates en chapeau blanc qui utilisent leurs compétences en matière piratage et en informatique, de manière à ce qu’elles profitent aux organisations.

Des entreprises telles que Google versent régulièrement des primes pour la découverte de vulnérabilités. Dans la plupart des cas, ces primes prennent la forme de récompenses monétaires dont le montant se situe généralement entre 200$ et 5 000$.

Parfois, les récompenses peuvent se présenter sous la forme de titres honoraires du genre « Hall of fame » ou être des choses fournies gratuitement.

Les primes peuvent être forfaitaires ou varier en fonction de la gravité de la vulnérabilité découverte. Et parfois, elles peuvent devenir assez substantielles. En 2012, Microsoft a par exemple décerné à un étudiant en doctorat de l’Université Columbia une récompense de 200 000$, tandis qu’United Airlines a accordé un million de milles de crédit de vol à chacun des deux traqueurs de bugs qu’il a engagé.

Netscape a mis en œuvre cette pratique pour la première fois il y a 21 ans, en 1995, pour le lancement des versions bêta de Netscape Navigator 2.0 via lesquelles les traqueurs de bugs recevaient de l’argent comptant et des crédits officiels pour la découverte d’erreurs.

Dans les années qui ont suivi, d’autres marques comme Mozilla ont mis en œuvre leurs propres programmes, mais cette pratique n’a pas fonctionné tant que Google n’a pas adapté l’approche de son navigateur Chrome en 2010. Depuis, Google a élargi son programme et a accordé neuf millions de dollars pour payer des chasseurs de primes Bug Bounty.

Un exemple typique d’une faille détectée par les traqueurs de bugs a été illustré dans une découverte récente d’une vulnérabilité critique trouvée dans Facebook.

Lorsqu’un compte Facebook est réinitialisé, un code PIN à 6 chiffres est envoyé au téléphone du titulaire du compte. Celui-ci doit le saisir pour déverrouiller son compte. Facebook n’autorise qu’un certain nombre de tentatives pour entrer le bon code PIN, sinon il verrouille le compte.

Un chercheur en sécurité nommé Anand Prakash a constaté que cette fonctionnalité était absente sur son site bêta. En effet, Facebook héberge une version bêta de son site (beta.facebook.com) dans laquelle de nouvelles fonctionnalités sont introduites à titre d’essai.

Anand a découvert qu’il pouvait deviner à l’infini le code PIN, ce qui lui permettait d’accéder à n’importe quel compte. Après avoir établi ses conclusions, Facebook lui a accordé 15 000$.

Pourquoi les programmes Bug Bounty sont-ils si populaires ?

La prémisse derrière les programmes Bug Bounty est simple.

Chaque application web peut présenter de bugs, quel que soit leurs types, ce qui pourrait l’exposer aux attaques cybercriminelles. Mieux vaut donc les faire découvrir par un pirate éthique plutôt que par une personne aux intentions malveillantes.

Bien que les grandes entreprises puissent tenter de réaliser ce processus en interne, elles peuvent aussi intégrer les efforts d’autres professionnels qu’elles ne pourraient jamais en embaucher par le biais d’invitations à la prime au Bug Bounty.

Ainsi, ces entreprises peuvent bénéficier de la grande expérience et compétence des chasseurs de primes. De plus, les traqueurs de bugs sont bien plus en phase avec les dernières techniques et outils de piratage. Plus il y a d’yeux qui scannent un site internet, meilleurs sont donc les résultats.

Il y a aussi un autre gros avantage financier pour les entreprises qui émettent des primes dans le cadre d’un programme Bug Bounty. Payer quelques milliers de dollars pour la découverte d’une vulnérabilité critique peut être beaucoup moins coûteux que de supporter les nombreux coûts associés aux conséquences d’une atteinte à la protection de données.

Cependant, il ne s’agit pas seulement d’éviter les dégâts liés à la divulgation des informations sensibles. Les coûts des éventuels litiges suite à une brèche rendent également les programmes de primes Bug Bounty si populaires.

La méthode traditionnelle d’analyse de vulnérabilité consiste à faire faire un test d’intrusion par une entreprise de cybersécurité tierce. Ces tests sont effectués en vertu d’un contrat officiel, habituellement sur la base d’un tarif horaire.

Le problème est que, si un test confirme un certificat de bonne santé – ce qui est certainement une bonne nouvelle — ou, au pire, ne trouve qu’une ou deux vulnérabilités, le client est toujours facturé de la même façon.

En d’autres termes, le montant du règlement ne dépend pas du fait qu’il s’agisse d’un défaut mineur ou d’une série de vulnérabilités critiques. Par contre, en utilisant les primes Bug Bounty, la compagnie ne paie que pour les défauts, et c’est tout.

En 2016, le ministère américain de la Défense a annoncé un programme de primes Bug Bounty pour une période de trente jours. Les participants au programme ont dû passer un test de base rigoureux et signer un certain nombre de documents juridiques concernant le protocole à suivre.

En fin de compte, 250 chercheurs ont participé à l’étude et ont découvert 138 failles dans la cyberinfrastructure du ministère de la Défense. Le montant total des prestations s’élevait à plus de 150 000$. En considérant qu’un test d’intrusion formel de cette ampleur aurait coûté plus d’un million de dollars, la Défense en a certainement eu pour son argent.

Gestionnaires de programme Bug Bounty

L’implémentation d’un programme de primes Bug Bounty n’est pas à la portée de tout le monde.

Seules les plus grandes entreprises disposent des ressources internes à consacrer pour lancer ce type d’activité et pour pouvoir la gérer efficacement.

De plus, il y a toujours un risque à travailler avec des étrangers dans le monde entier, lesquels peuvent participer à un tel programme pour des raisons malveillantes.

Par ailleurs, il faut beaucoup d’expérience pour analyser le rapport signal/bruit (une notion importante permettant d’évaluer la qualité d’un produit), car les entreprises peuvent être submergées par les soumissions de pirates amateurs à la recherche d’un paiement rapide.

Pour cette raison, de nombreuses organisations embauchent des entreprises tierces spécialisées dans l’exécution d’un programme Bug Bounty. Celles-ci savent comment vérifier la fiabilité des participants et peuvent analyser le rapport signal/bruit pour obtenir des résultats aussi efficacement que possible. À noter que certaines de ces entreprises génèrent des millions de dollars en guise de primes qu’elles distribuent ensuite avec les entreprises tierces spécialisées.

Un nombre croissant d’entreprises encouragent les chercheurs à disséquer leurs logiciels pour trouver des fissures dans les armures. Beaucoup plus de vulnérabilités peuvent ainsi être découvertes et corrigées, et les utilisateurs sont plus en sécurité.

Vous voulez vous être au courant de toutes les dernières menaces à la cybersécurité ? Inscrivez-vous aux newsletters de TitanHQ.